Cyberveille relative aux secteurs de la construction et de l'ingénierie

Cybermenaces dans les secteurs de la construction et de l'ingénierie

Les entreprises des secteurs de la construction et de l'ingénierie sont sous la menace de groupes APT (Advanced Persistent Threat)1 poursuivant les objectifs suivants :

  • Vol de capital intellectuel relatif à des procédés, savoir-faire et innovations techniques au profit d'entreprises publiques et, plus généralement, des secteurs de la construction et de l'ingénierie du pays commanditaire
  • Accès à des données sur des entreprises étrangères participant à de grands projets (notamment de grands travaux publics, d'infrastructure ou d'urbanisation) pour fournir au gouvernement commanditaire des renseignements au profit de ses propres projets nationaux
  • Espionnage d'entreprises étrangères, soit pour donner l'avantage à une entreprise nationale dans le cadre d'un appel d'offre, soit pour placer l'État commanditaire en position de force dans ses négociations avec les entreprises infiltrées
construction and engineering cyber threats

Horizon des menaces & perspectives pour le secteur

Par leur rôle important dans de nombreux autres secteurs (industrie, énergie, transports, aérospatiale, défense, etc.), les entreprises des secteurs de la construction et de l'ingénierie resteront la proie de cyberespions à la solde d'un État. Selon nous, la hausse des investissements dans l'urbanisation et les infrastructures des pays émergents entraînera également une multiplication des attaques commanditées par des gouvernements tentant d'obtenir des informations susceptibles de faciliter leurs projets et d'alléger leurs coûts. Nous constatons de nombreux cas de vols de données de propriété intellectuelle et autres informations confidentielles par des pirates financés par un État. Leur but ? Donner aux entreprises nationales un avantage concurrentiel, par exemple en utilisant ou commercialisant des matériaux de pointe pour le bâtiment.

Nous avons observé au moins 25 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Services d'architecture & d'ingénierie
  • Fabrication d'éléments d'architecture & de charpentes métalliques
  • Maintenance & réparation d'équipements commerciaux
  • Entreprises de constructions lourdes & de bâtiments commerciaux
  • Fabrication de machines de construction
  • Services de réparation d'équipements électroniques
  • Fabrication d'instruments de surveillance & d'inspection électroniques
  • Logiciels d'ingénierie, scientifiques & CAO/FAO
  • Services d'ingénierie
  • Services de contrôle de l'érosion
  • Fabrication d'ouvrages métalliques
  • Fabrication de produits de contrôle industriel
  • Fabrication de machines
  • Fabrication de soupapes métalliques & de raccords de tuyauterie
  • Production d'acier
  • Fabrication de turbines
Types de données volées à des entreprises des secteurs de la construction & de l'ingénierie
  • Documents commerciaux & financiers
  • Comptes rendus & rapports de réunions gouvernementales
  • Documents RH
  • Communications internes
  • Documents juridiques
  • Documents sur l'infrastructure du réseau
  • Plans de conception de produits, schémas détaillés, instructions & supports de formation
  • Résultats & rapports de tests

Étude de cas : Des cyberpirates volent les données d'un fabricant d'équipements industriels destinés au secteur de l'énergie

Nous avons enquêté sur une compromission survenue dans une entreprise spécialisée dans le développement d'infrastructures industrielles destinées au secteur de l'énergie. Notre investigation a révélé le piratage d'un serveur web public dont les identifiants par défaut n'avaient pas été modifiés. Les attaquants avaient installé des webshells leur procurant un accès distant au système de l'entreprise. Après avoir collecté les informations réseau et les identifiants de compte d'administration du domaine, les pirates se sont déplacés latéralement vers l'environnement opérationnel de l'entreprise. Ils se sont alors mis à générer des fichiers RAR cryptés puis à les supprimer du réseau. Ils ont continué à accéder aux données présentes dans l'environnement et à les supprimer jusqu'à ce que l'entreprise mette un terme à leurs agissements deux mois plus tard.

malware detected construction

Principaux malwares détectés

FireEye a constaté une récurrence de certaines familles de malwares utilisées pour compromettre des entreprises des secteurs de la construction et de l'ingénierie. En voici l'inventaire :

LEOUNCIA Backdoor (porte dérobée) capable d'une série de fonctions : chargement et téléchargement de fichiers, lancement d'exécutables, exécution de commandes shell arbitraires, énumération et arrêt de processus, obtention de listes d'annuaires et communication avec un serveur de commande et contrôle (CnC) à l'aide de requêtes HTTP.
LV (ou NJRAT) Outil d'administration à distance (RAT) disponible sur Internet et capable d'enregistrer les saisies clavier, collecter des identifiants, effectuer des accès par shell inversé, charger et télécharger des fichiers, et modifier des fichiers et le registre. LV offre aux attaquants une fonction de "compilation" permettant de créer de nouvelles variantes.
Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
9002 (ou HOMEUNIX) Pour l'essentiel, lanceur générique de plug-ins téléchargés. Ces plug-ins sont stockés dans le tampon puis chargés et associés manuellement par la backdoor, ce qui signifie qu'ils ne sont jamais en contact avec le disque. Cette backdoor peut également stocker et enregistrer des plug-ins qui s'exécutent après le redémarrage du système sans que l'attaquant n'ait à les renvoyer sur le système cible.
SpyNet Outil d'administration à distance disponible sur Internet, SpyNet permet aux attaquants d'interagir avec un système compromis via un shell distant, charger et télécharger des fichiers, interagir avec le registre, et démarrer et arrêter des services et processus. SpyNet peut capturer des images du bureau d’un ordinateur, réaliser des enregistrements via une webcam et des entrées audio, extraire des mots de passe enregistrés et transformer un système compromis en serveur proxy. SpyNet intègre également une fonctionnalité d'enregistrement des saisies clavier et des mécanismes de protection contre le débogage et les machines virtuelles.

PRINCIPAUX CRIMEWARES DÉTECTÉS

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans les secteurs de la construction et de l'ingénierie sont les suivantes :

POWESSERE (ou Poweliks) Malware sans fichier résidant entièrement dans le registre Windows. Powessere s'introduit généralement sur un système via des e-mails de phishing aux couleurs de Canada Post ou d'USPS, ou en utilisant des exploits Microsoft Office. Il ne crée pas de fichiers sur le système infecté mais réside entièrement dans le registre Windows. Powessere s'exécute par étapes à partir d'un JavaScript codé et stocké dans une clé à exécution automatique. Une fois le malware entièrement installé, une DLL (Dynamic Link Library) résidant dans la mémoire collecte les informations de base sur le système et peut télécharger d'autres malwares.
Kovter Type de ransomware. Après avoir pris le contrôle d'un système infecté, Kovter compare l'historique de navigation de l'utilisateur à une liste de sites pornographiques connus. Si une correspondance est identifiée, il affiche une boîte de dialogue informant l'utilisateur que son ordinateur a été saisi par la police en raison de soupçons d'activités illégales. Kovter exige alors le paiement d'une rançon pour déverrouiller le système.
Fareit (ou Pony Loader et InfoStealer) Cheval de Troie spécialisé dans le vol d'informations, pouvant également forcer les systèmes infectés à participer à des attaques par déni de service distribué (DDoS) et à télécharger d'autres types de malwares.
Perlbot Malware écrit en Perl ciblant les serveurs Web susceptibles d'exécuter des systèmes de gestion du contenu vulnérables ou des composants tels que PHP. S'il identifie un système vulnérable, Perlbot tente d'exécuter du code arbitraire dans la chaîne de requête HTTP via les options de ligne de commande. Ceci lui permet de télécharger et d'exécuter davantage de code. Ces compromissions sont généralement associées au minage de bitcoins, mais peuvent potentiellement exposer les serveurs à une prise de contrôle à distance et à l'exfiltration de données sensibles.
Cyptowall (ou Crowti) Ransomware qui crypte les fichiers présents sur le terminal de la victime et utilise le réseau TOR (The Onion Router) pour les communications de commande et de contrôle (CnC).

 

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.